过去一两年,「零信任」迅速蹿红成为网络安全界的当红炸子鸡,安全厂商势如破竹进军零信任版块,甲方用户大刀阔斧进行零信任改造,资本市场涌入赛道将零信任的势头推得更高。近日,零信任安全厂商江苏易安联网络技术有限公司宣布完成近亿元B+轮融资,翻阅其发展历史,这家公司在成立不到四年的时间内已经完成了六轮融资,总金额超过四亿元,成为该领域的个中翘楚。带着对零信任实施真实情况的好奇,以及对其网红体质的思量疑虑,安全419与易安联创始人兼CEO杨正权先生进行了一次交流,看看他眼中的零信任,究竟是一场颠覆的改变,还是一朵虚幻的泡沫?
老品牌的重生之路
虽然如今的易安联是一个2017年才面世的新兴安全企业,但其实这个品牌早在2005年就诞生了。那一年,来自华为和北信源的9个技术青年凑在一起开启创业大门,杨正权正是创始人。当时的他们以SSL VPN 为业务方向,为用户解决远程接入和移动办公的需求。然而,缺乏企业经营经验的技术咖们因采取了较为平均的股权结构,导致力量分散对峙,反而没有拧成一股强大合力,致使公司在拥有扎实深厚的技术积淀优势下,却在市场开拓方面屡屡受挫。这样的情况持续到2012年时,他们已经负债累累,处于瓦解边缘。
杨正权与其中一位股东王刚(也是现任的易安联副总经理)不忍心放弃易安联的品牌,选择回收其余老股东的股份,背负债务继续向前。靠着前期的技术积累和客户认可,他们缩减人员、削减成本,终于在2015年把公司拖出了负债的泥沼。
内部运营走上正轨,但杨正权已经机敏地嗅到了外部的危机。他和王刚意识到,SSL VPN市场的蛋糕不大,竞争格局也已经固化,而且互联网环境逐渐云化,安全需求正在悄悄改变。“我们不应该固守着传统的安全,而应该去积极拥抱云上的未知。”
赶巧的是,当时大唐电信带着一个工业互联网云平台建设的项目找到易安联,希望他们可以解决其中安全接入的需求。随后他们运用云安全代理的方法来实现云上技术安全的访问控制,支撑交付了这个项目。也正是这个项目的成功,让杨正权更加坚信了当时的选择方向——做云的应用访问安全。在安全419看来,所谓运气与机会,其实没有那么多巧合,是你做好了充分的准备,接得住、吃得下那块珍贵的馅饼。
时间来到2016年,趁着新三板的热度和政府鼓励融资的东风,团队打磨、沉淀已有的技术和能力,并融合Gartner提出的CASB(云访问安全代理)理念,针对SaaS使用环境帮助企业客户保护PC端和移动端服务访问的安全需求,在路演中拿到了动平衡资本的天使投资,一个崭新的江苏易安联代替曾经的南京易安联昂扬进军云安全市场。
用零信任构建安全的应用环境
杨正权谈到,虽然易安联做的是CASB,但和国际上的实践有很大区别。在国外,CASB解决的是用户接入公有云,如何保证自己的数据、资产、业务在云上是安全稳定的;而国内的需求恰恰相反,用户对于上云——把自己本地的资产托付出去仍抱有抵触情绪,而提供云服务的厂商也在担心,这些接入进来的系统、设备、账号会不会对云本身的安全造成破坏?虽然是同一个技术,但解决的是两个不同层面的问题,因为用户关心的才是最真实的需求。
也正是在服务客户的过程中,他们发现,即使客户难以接受新颖的模式或概念,但只要产品能解决客户真正的诉求,那么其本身就是靠谱的,并且,客户的需求随着环境和技术的变革也在逐渐转变和提高。因此,技术创新和产品布局需要走在更前沿,去替用户考虑、补齐发展带来的安全滞后短板。
在他们看来,安全的最终形态,是应用的安全,业务系统、数据、资产等等都是由应用产生的,仅仅在「云」上做一个安全访问代理还远远不够,还需要在「端」上做接入控制,即对所有来访的流量都作出判断验证,确认其身份,才能够访问应用,不仅能够抵挡恶意、垃圾流量的来访,对未知的攻击和威胁也能够有效屏蔽。
这其实就是零信任理念中关于SDP(软件定义边界)的构建和实施,通过访问安全的逻辑,把每个应用都分为云侧和端侧,端侧的浏览器、API、系统等任意形态的访问都由代理发起请求,将验证前置,先完成身份、设备、环境等因素的认证之后,才可以接触应用。SDP为企业用户建立起基于应用的虚拟边界,以端点为中心的虚拟、深度细分的网络将覆盖所有物理和虚拟网络,以此建立起一个真正具备信任的——其实也是没有信任基础的应用环境。
2018年,易安联彻底把CASB框架升级到零信任战略,根据其客户服务经验主要适用三种典型场景:
一是办公环境,企业所有的员工都应该通过零信任的架构才能进入组织内部,这不仅是物理意义上的写字楼、办公室,而是任意角色从任意地方、任意设备进入都需要经过同样流程的权限验证,企业网络环境不再是内网、外网、云端的复合架构,而是极简为云和端的形态。
二是运维环境,银行、政府、公安等大型组织的运维环境中包含大量的外包操作人员,流动性强、角色复杂,需要通过零信任的架构验证合法的运维人员进入云平台和生产系统。
三是供应链环境,以今年315晚会曝光的简历泄露事件来举例,数据泄露不仅发生于攻击和内部窃取,也来源于上下游供应商和合作伙伴,大量的接口、代理访问应用系统,也需要零信任的接入控制。
2019年,易安联正式推出EnSDP零信任防护平台并实现商用,构建端到端的组织应用安全访问新模式。发展至今,易安联围绕着应用访问安全这个领域共发布6款零信任系列产品,应用于核电、运营商、公安、政府、大数据、金融行业,团队规模近百人,在总部南京之外设立了北京、山东、安徽等5地的办事处,营收年平均增长率超80%,2020年业绩已经达到8000万。
未来的零信任将朝“四化”发展
业绩的持续向好和用户侧的良好反馈,充分说明了零信任模式是网络安全未来的一个方向。向前演进,杨正权认为,未来的零信任发展会呈现明显的“四化”特征:
首先是应用零信任化。业务系统迁移上云后,用户关心的是云化应用自身的安全和应用产生的数据的安全,在易安联目前建立的标准SDP产品基础上,在云侧采用SDK的方式部署到应用上,由代理来监听原本应用该监听的端口,再通过内部Socket的方式把数据回传,把零信任的逻辑嵌入到应用中。
其次是传统网络安全产品零信任化。传统安全的思维是在应用的外围部署一层防护,威胁来袭第一时间攻击的是安全产品,如果产品本身不够安全,其构筑的保护伞的内部安全就形同虚设。将安全产品零信任化,才能起到实质性的保护。
再者是零信任技术协议标准化。零信任的安全建设需要嵌入到应用体系的内部,不同于传统安全产品仅仅更改IP端口的配置就可以替换,对于甲方用户来说,没有技术标准将带来选型上的痛苦,零信任的传输协议、控制协议等技术策略的统一将有助于零信任方案的实施。据了解,易安联目前联合奇安信正在构建我国的零信任技术协议标准。
最后是零信任落地成熟度评估模型化。随着零信任受到市场的认可,甲方用户往往会对零信任改造工程建立一个宏大的目标。但零信任的实施不是一蹴而就能搞定的,许多老旧应用的改造成本大、周期长,应该着手于眼下能够且急需改造的应用,慢慢建立健全零信任的架构。用零信任落地成熟度来管理用户的预期,才能够让零信任的方案真正得以交付。
摒弃浮躁 做零信任坚实的耕作者
也正是因为这股趋势和潮流,零信任的赛道熙熙攘攘,但杨正权的心态非常理性而坚定。零信任是一个非常广的概念,有很多的实施路径,不局限于某一种技术或某一种场景。传统安全厂商进行零信任的改造和布局是一个必然的趋势,云服务厂商依靠先天优势进行零信任的技术延展也是不可避免的,此外还有很多新兴安全厂商切中零信任的某一技术维度,在开发自己的市场。
对于易安联来说,其多年以来从SSL VPN 到 CASB 再到零信任,一直围绕着应用访问安全领域在深耕,其能力和经验积累与大厂品牌同台竞技毫不逊色,已经形成了自己的技术壁垒,也收获了许多行业客户的肯定。未来,他们还将在IAM(身份识别与访问管理)等技术领域进行补齐和突破,以形成更加完备的零信任解决方案,同时加强品牌建设,让更多的用户认识并认可易安联。
对于资本的追捧和市场的浮躁,杨正权同样表现得格外清醒。一方面,资本的青睐会带来市场的繁荣,拥有关注度、甚至赛道拥挤肯定是利好的。另一方面,任何一个新兴火爆的行业也肯定存在大量泡沫,其中不乏贴牌捞金的投机分子。但是,对于真正理解、拥护、钻研、实践零信任的耕作者,除了在早期迅速地瞄准机会并冲进来,还会凭借能力和服务解决好客户的痛点,在占据了一定的市场后,也依然在进行技术创新和完善解决方案,把零信任的优势嵌入到现在的安全建设中来。退潮之后的沙滩上,留不下轻浮的脚印,那些通过长期的扎根,把技术突破、把产品夯实、把各个功能点都做到位,真正解决了难题的厂商,会像深埋的珍珠贝壳一般得到整个市场的尊重。
杨正权认为,泡沫消散后的零信任领域依然会拥有广阔的前景,未来将会有3-5家相对较大的玩家带领着整个行业前进,易安联正在争取成为其中不可替代的一支队伍。本轮融资后,将加大研发投入,持续进行技术创新,争取每年保持100%的业绩增长,让零信任获得更广泛的落地。